在由一个专家小组公开投票选出的2010年网络黑客技术名单中,在线网上银行交易威胁成为黑客技术中的年度头号杀手。该技术被称之为Padding Oracle加密技术,黑客则是利用了微软的网络架构ASP.NET保护AES加密cookie的原理。
如果在cookie中的加密数据已经被改变,那么ASP.NET处理它的方式就会导致应用程序留下一些关于解密信息的蛛丝马迹。这样一来,黑客们就可以推断出从加密密钥中被淘汰出来的可能的字节,从而减少了未知字节,让解密范围缩小到足够可以被猜测出来。
黑客的开发商――Juliano Rizzo和Thai Duong已经开发了一种执行该袭击的黑客工具。
Padding Oracle在投票过程中被评为第一。参与该投票的评审团成员包括InGuardians的创始人Ed Skoudis,NoScript的作者Girogio Maone ,Armorize的总裁Celeb Sima,Veracode的首席技术官Chris Wysopal,OWASP的董事长兼总裁Jeff Williams,独立安全评估公司的安全顾问Charlie Miller,Mitre的Steven Christey和White Hat Security副总裁Arian Evans。
该排名由Black Hat、OWASP和White Hat Security联合发起,有关黑客的细节将在下个月于德国举行的2011年IT安全主题展示大会上逐一透露。
以下列出位于前十位的其它Web黑客技术:
详细:http://v.securepub.com/read-htm-tid-949.html
没有评论:
发表评论